A Fortinet népszerű webalkalmazás-tűzfala, a FortiWeb kritikus sérülékenységét már bárki kihasználhatja, mivel nyilvánosságra kerültek a kihasználási módszerek. A hiba (CVE-2025-25257) egy SQL beszúrási sérülékenység, amely lehetővé teszi, hogy a támadók a hitelesítés teljes megkerülésével tetszőleges kódot futtassanak a sebezhető szervereken – mindezt már egyetlen, rosszindulatúan formázott HTTP- vagy HTTPS-kéréssel. Fontos, hogy a Fortinet már kiadta a javításokat: a 7.6.4, 7.4.8, 7.2.11, 7.0.11-es vagy frissebb verziók védettek.
Hogyan működik a támadás?
A biztonsági hibát a FortiWeb “Fabric Connector” nevű komponensében találták, amely a különféle Fortinet-termékek közötti azonosítási adatokat és szabályokat szinkronizálja. Egy hibás SQL-lekérdezésen keresztül, konkrétan a get_fabric_user_by_token() függvényen belül, a támadó egy tudatosan manipulált Authorization fejlécen (pl.: Bearer AAAAAA’or’1’=’1) keresztül juttathatja be a rosszindulatú parancsot. Ez kezdetben csak adatszivárgást eredményezhet, de továbbfejlesztve a támadók tetszőleges Python-fájlt helyezhetnek el, amelyet aztán egy valódi FortiWeb CGI szkripten keresztül távolról futtathatnak.
Védd meg magad, mielőtt késő lenne!
Jelenleg nem ismert széles körű támadáshullám, de mivel a támadási leírások és példák már elérhetők, a helyzet bármelyik pillanatban megváltozhat. A felhőalapú támadások fejlődnek, de a sikerhez sokszor még mindig hihetetlenül egyszerű trükkök is elegendők. Minden rendszergazdának erősen ajánlott mielőbb frissíteni, hiszen a következő hullám bármelyik pillanatban elindulhat. A tapasztalatok szerint a felhőben dolgozó támadók is először az ilyen egyszerű sérülékenységekkel próbálkoznak, mielőtt bonyolultabb módszerekhez nyúlnának. Az ismert módszerekkel a támadás bárki számára gyerekjáték lett, ezért a frissítés most nem opcionális, hanem kötelező!
Az Anthropic szerdától újra elérhetővé teszi a csúcskategóriás Claude Fable 5-öt, miután a Kereskedelmi Minisztérium feloldotta az exportkorlátozásokat...
Érdemes megvizsgálni, hogy a Claude Code felhasználói egyre gyakrabban panaszkodnak arra, hogy egyik napról a másikra eltűnnek a beszélgetési előzményeik...
Júliusban a Pokémon GO rajongóira izgalmas hónap vár, hiszen a mobileszközökön futó játék tizedik évfordulóját ünnepli, miközben a Forever Forward szezon tovább pörög...
Fizetős iOS appok és játékok, amik ingyenesek a mai napon. ImgRef (iPhone/iPad)Az App Store szerkesztői által kiemelten ajánlott alkalmazás lenyűgöző, 98%-os ötcsillagos értékeléssel büszkélkedhet...
❤ A hirtelen szívhalál évente rengeteg áldozatot követel, jóllehet a beültethető defibrillátorok már évtizedek óta képesek lennének megelőzni a tragédiák jelentős részét...
Michael Dell idén egészen elképesztő sikereket ér el: cége meghatározó beszállító lett az adatközpont-fejlesztésekben, többek között a CoreWeave és az xAI számára szállít Nvidia-alapú szervereket, rackeket, hűtőrendszereket, valamint támogatást, miközben együttműködik a Microsofttal, a Google-lel és az OpenAI-jal is nagy teljesítményű MI-rendszerek építésében...
💰 Egy észak-karolinai férfi több mint tíz év börtönt kapott, miután beismerte, hogy januárban Pokémon-kártyákat és pénzt lopott egy helyi videójátékbolt alkalmazottjától Wilmingtonban...
🍇 Idén június 29-én érdemes az eget figyelni: ekkor látható a júniusi telihold, más néven az Eperhold (Strawberry Moon), ami az év legalacsonyabban járó és egyik legkisebb teliholdja lesz...
A mexikói Metapában egy vadonatúj, 2043 négyzetméteres üzemben indult el az Egyesült Államok mezőgazdasági minisztériumának (USDA) legújabb programja: steril legyek tömeges előállítása...
⚡ A Microsoft az eddigieknél sokkal gyorsabban készül átállni a kvantumbiztos védelemre, mert a kvantumszámítógépek fejlődése minden korábbinál nagyobb fenyegetést jelent a jelenlegi titkosítási szabványokra...
Felmerül a kérdés, hogy mennyire bízhatunk meg a mesterséges intelligenciával hajtott böngészőkben, ha egy új támadás képes kijátszani a biztonsági korlátokat...
🔒 A Microsoft fejlesztéseinek köszönhetően mostantól jóval biztonságosabbak lesznek a Teams-megbeszélések, hiszen egy új szabályozás lehetővé teszi, hogy a felhasználók blokkolják az engedély nélküli, harmadik féltől származó botok csatlakozását...
A mesterséges intelligencia infrastruktúrája iránti fékezhetetlen igény egyre nagyobb mértékben fűti az inflációt – figyelmeztetett Beth Hammack, a clevelandi Szövetségi Tartalékbank elnöke...
⚠ A Samsung Messages alkalmazás hamarosan végleg eltűnik az amerikai felhasználók mobiljáról, így akinek fontosak a régi üzenetei, vagy továbbra is csevegni szeretne, érdemes minél előbb lépnie...
🔨 Felmerül a kérdés, hogy mi lenne, ha a betegségeket nem csupán a DNS szerkesztésével, hanem a gének működésének speciális beállításával lehetne kezelni?..
A Peacock Premium Plus már elérhető a YouTube Primetime Channels szolgáltatáson keresztül, így mostantól közvetlenül a YouTube alkalmazásban is előfizethetsz rá, és nézheted az összes tartalmat – legyen szó mobilról, tabletről vagy okostévéről...
💸 A világ egyik legnagyobb motor- és elektronikai alkatrészgyártójaként ismert, több mint 100 ezer embert foglalkoztató japán Nidec Corporation most hatalmas nyomás alatt áll: a Blackfield zsarolóvírus-banda 2 millió dollárt, vagyis körülbelül 726 millió forintot követel tőle...
🚦 Érdemes megvizsgálni, hogy a Shetland-szigetek vezetése radikális változtatásra készül a közlekedésben: egy 1,5 milliárd angol font (650 milliárd forint) értékű terv szerint az elöregedő kompokat víz alatti alagutak válthatják fel a következő nyolc éven belül...